집에는 NAS(Netgear Readynas NV+)가 있고 직장에는 항상 켜져 있는 Linux(Arch) 상자가 있습니다. Linux 상자에는 이미 ssh 서버/데몬이 실행 중이고 NAS에는 이미 rsync 서버/데몬이 실행 중입니다. NAS는 SSH를 통한 rsync를 지원하지 않습니다. 제가 이해한 바는 홈 라우터에서 포트 전달을 활성화하여 Linux 상자가 NAS와 rsync를 시작할 수 있도록 하거나 Linux 상자에서 rsync 서버를 활성화하고 NAS가 동기화를 시작하도록 허용할 수 있다는 것입니다. 내 홈 라우터에는 고정 IP 주소가 없기 때문에 Linux 상자에서 rsync 서버를 실행하는 것을 선호합니다.
한 가지 방법이 다른 방법보다 안전합니까? 이 작업을 수행하는 데 심각한 보안 결함이 있습니까?
답변1
이미 설정된 내용을 따르고, workbox의 ssh가 이미 공개/모니터링/지원/감사 서비스인 경우 해당 서비스를 통해 rsync를 시도하세요. 일반적으로 새 포트/서비스를 열지 않는 것이 가장 안전합니다. 열려 있지 않음안전하지 않은 프로토콜온라인에 접속하면 더욱 좋습니다 =)
당신은 얻을 수 있습니다SSH 액세스ReadyNas에 문의하세요(Netgear에서 "나스를 삭제했습니다"라는 지원 전화를 받는 데 문제가 있어도 괜찮다면). 그러면 rsync -e ssh명령줄에서 다른 것을 설정할 필요가 없습니다. 인증, 회선 보안 및 사용자/파일 권한은 모두 Workbox의 SSH/원격 셸 설정에 의해 제공됩니다.
홈 네트워크에서 SSH를 활성화하려면:
동적 IP의 번거로움은 다음을 실행하여 해소할 수 있습니다.동적 도메인 이름 확인제공하다.
워크박스의 공인 IP에 대한 포트 접근을 제한합니다.
일부 라우터에서는 NAT 규칙에 소스 IP를 설정할 수 있습니다.
SSH는 다음과 같은 방법으로 보안을 유지할 수 있습니다.iptables그리고더
DarkHeart가 언급했듯이 보안되지 않은 네트워크를 통한 rsync는 그 자체로는 좋은 생각이 아닙니다. 언급된 터널과 VPN은 좋은 솔루션입니다. 위 SSH 터널의 상태를 유지할 수 있습니다자동 SSH. 양쪽 끝에 액세스할 수 있는 사람을 기반으로 터널을 보존하려면 일부 rsync 보안에 의존해야 할 수도 있습니다.
또한, 아직 그렇게 하지 않았다면 현재 하고 있는 일에 대해 누군가에게 이야기하십시오. 네트워크에 들어오고 나가는 데이터를 자세히 설명합니다. 모든 것이 잘못되면 어떤 데이터가 노출될 수 있는지 생각해 보세요. 어딘가에 프로세스를 문서화하세요.
답변2
Rsync 자체는 데이터를 일반 텍스트로 전송합니다. 따라서 어느 쪽이든 안전하지 않습니다. SSH 터널을 사용하거나 VPN을 설정해야 합니다. SSH를 통해 NAS에 전혀 액세스할 수 없는 경우 "집에서" 세 번째 서버를 사용하여 한 서버에서 다른 서버로 터널링할 수 있습니다. 예를 들어:
ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873
그렇지 않은 경우에는 직장 컴퓨터를 사용하여 홈 VPN에 로그인하세요.
귀하의 질문에 대답하려면: 포트를 여는 것을 피할 수 있다면 그게 더 안전하다고 말하고 싶습니다.
답변3
당신의 장면은 어렵습니다. 일반적으로 위협이 낮은 영역에서 위협이 높은 영역으로(즉, 내부 네트워크에서 DMZ로) 연결을 여는 데에는 문제가 없습니다. 위협에 더 취약한 시스템은 연결이 열려 있는 시스템입니다. 인터넷으로의 서비스/포트(이것은 자동 전송에만 적용됩니다. 웹 클라이언트 연결을 통해 공격을 받을 수 있다는 것을 우리 모두 알고 있듯이).
나는 업무용 기계가 집에 있는 기계에 대한 연결을 열어야 한다고 말하고 싶습니다(이것이 직장에서 합법적이기를 바랍니다).포트 노크집에 있는 컴퓨터에서. 집 컴퓨터에서 대상 포트를 여는 순서는 회사 컴퓨터에 저장되어 있어야 합니다. 그리고 매번 사용 후에는 순서를 바꿔야 합니다.